订阅和账户
管理组
如果你的公司有好多订阅,那么你就得找一个高效的方式去管理访问、策略、合规。
Azure Management Group提供一个比订阅更高级别的管理。你可以把一堆订阅放在一块儿,这一组订阅就叫管理组,通过管理组可以实施很多策略。
- 管理组让企业可以自定义Azure订阅的类别和功能
- 管理组可以跨订阅去设置策略和花费预算,并且子项继承策略
- 企业可以生成合规和花费报告
可以用portal powershell Azure CLI来部署management group,但是不能用resource manager template部署。
有一个Management Group ID 不能改
###Azure订阅
订阅是关联Azure账号的逻辑单元。Azure服务收费是基于订阅的。
订阅把企业和云服务连接起来,可以管理资源使用的报告、收费等等。每个订阅可以有不同的付费方式,所以分部门、项目区域办公室等等来拥有不同的订阅。每一个云服务必须属于一个订阅。
###Azure 账户
订阅可以有很多账户,Azure账户是Azure AD里面的一个标识(identity),每个Azure订阅也必须关联一个AD 账户,因为用户如果要访问订阅里面的资源首先就必须先去找AD进行身份验证。
通常一般赋予一个用户去访问资源的方式是:把用户加在入AD 目录,然后订阅目录里面的用户就可以访问订阅里面的所有资源。
订阅类型
免费:第一个月有200刀的钱
pay as you go
enterprise agreement:license有打折,99.95%的SLA
student:第一个年有100刀
订阅用户种类
account administrator:只有一个,可以管理订阅本身,必须每两年登录一次,不然account就要被取消
service administrator:只有一个,可以控制订阅里的服务:第一个co-admin叫service admin
co-administrator:加上service admin,一个订阅里面最多可以有200个,和service admin一样,但是不改变订阅关联的目录。
每个订阅可以有五个billing alert,每个alert可以最多有两封email
reservation:预定套餐,可以是一年、三年。预付款可以有折扣,比pay as you go便宜好多
Role-based access control (RBAC)
三个role:
owner:啥都能管
contributor:处理设置访问权,其他都能管
reader:只能看
RBAC可以继承
Global administrator:啥都可以,可以指派其他人为管理员。
角色分配:可以不用给用户服务订阅级别的访问权限,访问权限可以细化给到指定的资源。
Role definition:用JSON写的,又name,id,description。
